Nieuws

Minister: nog geen besluit over structureel gebruik Microsoft Copilot bij UWV

maandag 29 juni 2026, 15:43 door Redactie, 6 reacties

Er is nog geen besluit genomen over het structureel gebruik van Microsoft Copilot bij het UWV en tijdens een test met de chatbot worden er geen persoonsgegevens verwerkt, zo laat minister Vijlbrief van Sociale Zaken weten. De bewindsman reageerde op Kamervragen over de beslissing van het UWV om over te stappen van chatbot Mistral naar Microsoft Copilot. Vorig jaar mei kondigde het UWV aan dat individuele medewerkers vanaf hun werkplek alleen toegang hadden tot de chatbot van Mistral met de naam Le Chat.

Begin mei werd bekend dat het UWV niet met Le Chat verdergaat en er gekozen is voor Microsoft Copilot Chat Web. Deze oplossing draait binnen de bestaande Microsoft-omgeving van het UWV. Het gaat hierbij om een pilot die tot het einde van het jaar loopt. D66 vroeg de minister om opheldering. De bewindsman merkt op dat het hier om een tijdelijke, beperkte pilot gaat. "Die past binnen de rijksbrede kaders voor verantwoord gebruik van generatieve AI met de kanttekening dat er geen open of Europees AI-model is."

D66-Kamerleden El Boujdaini en Neijenhuis wilden weten welke risico's de minister zie in de keuze die het UWV heeft gemaakt om Microsoft Copilot te gebruiken, en dan met name als het gaat om toegang tot persoonsgegevens, vendor lock-in en geopolitieke afhankelijkheden. "Ik zie drie relevante risico’s", reageert Vijlbrief. "Ten eerste bestaat het risico op onbedoelde verwerking van persoonsgegevens door gebruikersinvoer. UWV beperkt dit risico door in de tijdelijke pilot geen dossier- of persoonsgebonden gebruik toe te staan en door gebruiksregels en toezicht toe te passen. Toegang wordt uitsluitend verleend aan medewerkers die de e-learning AI-geletterdheid Basis succesvol hebben afgerond."

Wat betreft de andere twee risico's, namelijk vendor lock-in en geopolitieke afhankelijkheid van niet-Europese aanbieders, wordt hier bij de uiteindelijke keuze rekening mee gehouden, stelt de minister: "UWV betrekt dit expliciet bij de evaluatie en onderzoekt parallel soevereine alternatieven. De tijdelijke pilot leidt niet automatisch tot voortzetting of uitbreiding." De bewindsman zegt ook dat er geen besluit is tot de structurele inzet van Microsoft Copilot Chat.

Vijlbrief laat verder weten dat publieke organisaties bij de inzet van generatieve AI rekening moeten houden met Europese datasoevereiniteit en strategische autonomie. "Deze tijdelijke pilot betreft een beperkte en tijdelijke verkenning binnen bestaande contracten en vormt geen keuze voor structurele afhankelijkheid van één leverancier. Parallel hieraan onderzoekt UWV alternatieven, waaronder Europese en soevereine oplossingen, zodat bij eventuele vervolgbesluiten meerdere opties beschikbaar zijn." Begin volgend jaar zal de minister meer details delen over de test van Microsoft Copilot bij het UWV.

Kritiek lek in Oracle E-Business Suite actief misbruikt bij aanvallen

'Hack Jaguar Land Rover was aanval met geavanceerde ransomware'

Reacties (6)

Reageer met quote

Vandaag, 15:54 door Anoniem

Copilot Chat (zowel publiek als m365) heeft geen ISO27001 certificering en leunt in de marketing op de certificering voor Copilot Studio/Security etc. Dus hoe dit uberhaupt in aanmerking komt voor gevoelige data van het UWV is dan maar de vraag.

Niemand die ook maar enige moeite stopt in het uitzoeken van dit soort zaken. Microsoft Learn zegt dat het koek en ei is, dus dat neemt men voor waarheid aan. Wij-van-wceend.

Voor mijn werk kreeg ik de opdracht dit uit te zoeken, voor onze certificeringen is het behebben van vergelijkbare certificeringen verplicht, anders kunnen we de software/tools gewoon niet gebruiken. Voordat mijn collega's gevoelige data begon in te dumpen, maar eens op speurtocht gegaan.

Dan kom je op Microsoft Learn, ja bladiebla, copilot heeft de juiste certificeringen, is te vertrouwen en wij van Microsoft zijn super gaaf, trust us bro.
Nou, eens even verder graven, Microsoft heeft al hun certificaten publiekebeschikbaar in hun servicetrust center, hè, wat breekt mijn klomp nou, van bijna alle copilots zijn de juiste certificeringen te vinden, maar warempel, die van Chat en Office ontbreekt.

Verder zoeken, dooplopende wegen bewandelen met wij-van-wc-eend verhaaltjes op Microsoft's officiele pagina's, naja zeg. Laat ik dan maar eens een support ticket openen.

2 weken gedoe, vraag werd niet begrepen, ticket op backpack tour door India heen op zoek naar de juiste afdeling.
Uiteindelijk iemand die mij telefonisch te woord wilde staan, ik doorvragen hoe het zit met de AVG/GDPR, privacy/security e.d. en na een half uur wilde ze toegeven dat "Microsoft het niet kan garanderen dat de data van Chat en Office gebruikt wordt en heeft daarom niet de moeite genomen een ISO27001 certificering aan te vragen voor deze 2 copilot onderdelen.

Want, Copilot Chat, ook die "in jou M365 tenant" wordt gehost en beheerd door Microsoft.

En het UWV wil hier gebruik van maken, potverdorie. Zogenaamde zuur/duurbetaalde juridische / AI experts in die toko.

Reageer met quote

Vandaag, 16:01 door Anoniem

LOL, dat besluit is heel simpel. Gewoon niet doen.

Wat is hier lastig aan?

(Persoons)gevens bij het UWV zijn zeer gevoelig. Dat wil je niet aan Microsoft voeden, ook al zeggen ze dat het zogenaamd "niet gebruikt wordt voor trainingsdoeleinden". Ze kunnen er toch bij.

En als het niet om (persoons)gegevens gaat, dan is het sowieso een van de slechtste AI tools op de markt.

We moesten toch de Europese AI ondersteunen?

Reageer met quote

Vandaag, 16:04 door Anoniem

Allemaal heel gewichtig doen met commissies, richtlijnen, stuurgroepen, bla bla bla

Zo'n beslissing is een no-brainer en die maak je in 2 minuten. Tenminste, in het bedrijfsleven.

Maar ja, die ambtenare moeten elkaar ook een beetje bezighouden.... om vervolgens alsnog het verkeerde besluit te nemen.

Net als dat onderbrengen van Digid bij de Amerikanen. De bestuurlijke macht met hun belangen en lobbies hadden al besloten dat ze het wilden. De wetgevende macht wilde het niet. De klokkenluider is op non-actief gesteld (schande, maar ja... de bestuurlijke macht in Nederland is niet vies van wat kwade praktijken).

Mijn respect voor het publieke bestuur daalt met de dag.

Reageer met quote

Vandaag, 16:57 door Anoniem

Bizar, voldoet helemaal niet aan Europese unie richtlijnen of AVG/GDPR. Klop maar alles in Copilot. Microsoft heeft een goudmijn aan data, laat maar komen al die data !!

Don't forget.
Data is the new goldrush !

...

Reageer met quote

Vandaag, 17:12 door Anoniem

Door Anoniem: Copilot Chat (zowel publiek als m365) heeft geen ISO27001 certificering en leunt in de marketing op de certificering voor Copilot Studio/Security etc. Dus hoe dit uberhaupt in aanmerking komt voor gevoelige data van het UWV is dan maar de vraag.

Deze heeft wél een ISO 27001-certificering. Microsoft 365 Copilot is volledig geïntegreerd in het Microsoft 365-ecosysteem. Het valt onder de Microsoft Product Terms en de Data Protection Addendum (DPA) voor enterprise-klanten. Omdat het draait binnen de bestaande compliant infrastructuur van SharePoint, OneDrive en Azure, erft het de strengste compliance-certificeringen van Microsoft, waaronder ISO 27001, ISO 27018, SOC 1, SOC 2 en HIPAA.

Kortom: Je data verlaat de beveiligde M365-tenant niet en de certificering is gewoon op orde.

Niemand die ook maar enige moeite stopt in het uitzoeken van dit soort zaken. Microsoft Learn zegt dat het koek en ei is, dus dat neemt men voor waarheid aan. Wij-van-wceend.

Voor mijn werk kreeg ik de opdracht dit uit te zoeken, voor onze certificeringen is het behebben van vergelijkbare certificeringen verplicht, anders kunnen we de software/tools gewoon niet gebruiken. Voordat mijn collega's gevoelige data begon in te dumpen, maar eens op speurtocht gegaan.

Dan kom je op Microsoft Learn, ja bladiebla, copilot heeft de juiste certificeringen, is te vertrouwen en wij van Microsoft zijn super gaaf, trust us bro.
Nou, eens even verder graven, Microsoft heeft al hun certificaten publiekebeschikbaar in hun servicetrust center, hè, wat breekt mijn klomp nou, van bijna alle copilots zijn de juiste certificeringen te vinden, maar warempel, die van Chat en Office ontbreekt.

Verder zoeken, dooplopende wegen bewandelen met wij-van-wc-eend verhaaltjes op Microsoft's officiele pagina's, naja zeg. Laat ik dan maar eens een support ticket openen.

2 weken gedoe, vraag werd niet begrepen, ticket op backpack tour door India heen op zoek naar de juiste afdeling.
Uiteindelijk iemand die mij telefonisch te woord wilde staan, ik doorvragen hoe het zit met de AVG/GDPR, privacy/security e.d. en na een half uur wilde ze toegeven dat "Microsoft het niet kan garanderen dat de data van Chat en Office gebruikt wordt en heeft daarom niet de moeite genomen een ISO27001 certificering aan te vragen voor deze 2 copilot onderdelen.

Want, Copilot Chat, ook die "in jou M365 tenant" wordt gehost en beheerd door Microsoft.

En het UWV wil hier gebruik van maken, potverdorie. Zogenaamde zuur/duurbetaalde juridische / AI experts in die toko.

Zojuist gedaan en dat laat je ongelijk zien. Je moet wel de juiste gebruiken: Microsoft 365 - ISO 27001:2022 Certificate (2024-2027)
Daarin staat chat specifiek vermeld.

Reageer met quote

Vandaag, 17:14 door Anoniem

Door Anoniem: Bizar, voldoet helemaal niet aan Europese unie richtlijnen of AVG/GDPR. Klop maar alles in Copilot. Microsoft heeft een goudmijn aan data, laat maar komen al die data !!

Don't forget.
Data is the new goldrush !

...

Je weet het verschil tussen zakelijke en consumenten CoPilots?

Reageren

Ondersteunde bbcodes

Bold: [b]bold text[/b]

Italic: [i]italic text[/i]

Underline: [u]underlined text[/u]

Quote: [quote]quoted text[/quote]

URL: [url]https://www.security.nl[/url]

Config: [config]config text[/config]

Code: [code]code text[/code]

Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Code:

Vacature

Chief Information Security Officer

Utrecht heeft jou nodig! Als Chief Information Security Officer maak jij de stad digitaal veilig. Je bepaalt de koers voor informatiebeveiliging en zorgt dat beleid werkt. Je adviseert bestuur, stuurt een team aan en werkt samen met partners voor duidelijke keuzes met blijvende impact.

Lees meer

Vacature Digital Designer Certified Secure

Is geheimhoudingsplicht bij het vinden van bugs nog haalbaar nu iedereen AI gebruikt?

24-06-2026 door Arnoud Engelfriet

Juridische vraag: Tal van websites en softwarebedrijven hebben regels opgesteld voor responsible disclosure of coordinated ...

8 reacties

Lees meer

Certified Secure GenAI Deep Dive Security Training

Tweede Kamer wil onderwijs minder afhankelijk maken van Big Tech

18-06-2026 door Redactie

De Tweede Kamer wil het Nederlandse funderend onderwijs minder afhankelijk maken van Big Tech. Een motie die het kabinet ...

24 reacties

Lees meer

Waarom mag je browser zoveel informatie doorgeven zonder jouw expliciete toestemming?

17-06-2026 door Arnoud Engelfriet

Juridische vraag: Websites en apps moeten toestemming vragen voordat ze gegevens mogen verwerken waarmee gebruikers zijn te ...

21 reacties

Lees meer

Security.NL - X

10-01-2024 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons ook op X!

Lees meer

Minister: nog geen besluit over structureel gebruik Microsoft Copilot bij UWV

Je reactie is verstuurd en wordt zo spoedig mogelijk gemodereerd.

Code:

Wachtwoord Vergeten

Password Reset

Registreren